बॉटलरॉकेट 1.1 का विमोचन, पृथक कंटेनरों पर आधारित वितरण

लिनक्स वितरण बॉटलरॉकेट 1.1.0 की रिलीज उपलब्ध है, जिसे पृथक कंटेनरों के कुशल और सुरक्षित लॉन्च के लिए अमेज़ॅन की भागीदारी के साथ विकसित किया गया है। वितरण के उपकरण और नियंत्रण घटक रस्ट में लिखे गए हैं और एमआईटी और अपाचे 2.0 लाइसेंस के तहत वितरित किए गए हैं। यह अमेज़ॅन ईसीएस और एडब्ल्यूएस ईकेएस कुबेरनेट क्लस्टर में बॉटलरकेट चलाने का समर्थन करता है, साथ ही कस्टम बिल्ड और संस्करण बनाता है जो कंटेनरों के लिए विभिन्न ऑर्केस्ट्रेशन और रनटाइम टूल के उपयोग की अनुमति देता है।

वितरण परमाणु रूप से और स्वचालित रूप से अद्यतन अविभाज्य प्रणाली छवि प्रदान करता है जिसमें लिनक्स कर्नेल और एक न्यूनतम सिस्टम वातावरण शामिल होता है जिसमें केवल कंटेनर चलाने के लिए आवश्यक घटक शामिल होते हैं। पर्यावरण में सिस्टमड सिस्टम मैनेजर, ग्लिबक लाइब्रेरी, बिल्डरूट बिल्ड टूल, GRUB बूटलोडर, दुष्ट नेटवर्क कॉन्फिगरेटर, कंटेनरड आइसोलेटेड कंटेनर रनटाइम, कुबेरनेट्स कंटेनर ऑर्केस्ट्रेशन प्लेटफॉर्म, aws-iam-Authenticator और Amazon ECS एजेंट शामिल हैं। .

कंटेनर ऑर्केस्ट्रेशन टूल एक अलग प्रबंधन कंटेनर में आते हैं जो डिफ़ॉल्ट रूप से सक्षम होता है और एपीआई और एडब्ल्यूएस एसएसएम एजेंट के माध्यम से प्रबंधित होता है। आधार छवि में एक कमांड शेल, एक SSH सर्वर और व्याख्या की गई भाषाओं (उदाहरण के लिए, कोई पायथन या पर्ल नहीं) का अभाव है - प्रशासनिक और डिबगिंग टूल को एक अलग सर्विस कंटेनर में ले जाया जाता है, जो डिफ़ॉल्ट रूप से अक्षम होता है।

Fedora CoreOS, CentOS/Red Hat Atomic Host जैसे समान वितरणों से मुख्य अंतर संभावित खतरों के खिलाफ सिस्टम सुरक्षा को मजबूत करने, OS घटकों में कमजोरियों के शोषण को जटिल बनाने और कंटेनर अलगाव को बढ़ाने के संदर्भ में अधिकतम सुरक्षा प्रदान करने पर प्राथमिक ध्यान है। लिनक्स कर्नेल के नियमित तंत्र - cgroups, namespaces और seccomp का उपयोग करके कंटेनर बनाए जाते हैं। अतिरिक्त आइसोलेशन के लिए, वितरण "एनफोर्सिंग" मोड में SELinux का उपयोग करता है।

रूट विभाजन केवल-पठन मोड में आरोहित है, और /etc सेटिंग्स वाले विभाजन को tmpfs में आरोहित किया गया है और पुनः आरंभ करने के बाद इसकी मूल स्थिति में पुनर्स्थापित किया गया है। /etc निर्देशिका में फ़ाइलों का प्रत्यक्ष संशोधन, जैसे /etc/resolv.conf और /etc/containerd/config.toml, समर्थित नहीं है - सेटिंग को स्थायी रूप से सहेजने के लिए, आपको API का उपयोग करना चाहिए या कार्यात्मकता को अलग-अलग कंटेनर में ले जाना चाहिए। रूट विभाजन की अखंडता के क्रिप्टोग्राफ़िक सत्यापन के लिए, dm-verity मॉड्यूल का उपयोग किया जाता है, और यदि ब्लॉक डिवाइस स्तर पर डेटा को संशोधित करने का प्रयास किया जाता है, तो सिस्टम रीबूट हो जाता है।

अधिकांश सिस्टम घटक रस्ट में लिखे गए हैं, जो मेमोरी क्षेत्र को मुक्त करने के बाद, अशक्त बिंदुओं को संदर्भित करने और बफर ओवररन के कारण होने वाली कमजोरियों से बचने के लिए मेमोरी-सुरक्षित उपकरण प्रदान करता है। निर्माण करते समय, संकलन मोड "--सक्षम-डिफ़ॉल्ट-पाई" और "--सक्षम-डिफ़ॉल्ट-एसएसपी" का उपयोग डिफ़ॉल्ट रूप से निष्पादन योग्य पता स्थान रैंडमाइजेशन (पीआईई) को सक्षम करने और कैनरी लेबल प्रतिस्थापन के माध्यम से स्टैक ओवरफ्लो के खिलाफ सुरक्षा के लिए किया जाता है। C/C++ में लिखे गए पैकेजों के लिए, "-वॉल", "-वॉरर=फॉर्मेट-सिक्योरिटी", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" और "-फस्टैक-क्लैश" फ्लैग अतिरिक्त रूप से हैं शामिल - सुरक्षा।

नई रिलीज में:

• Kubernetes 8 के समर्थन के साथ दो नए वितरण विकल्प aws-k1.20s-8 और vmware-k1.20s-1.20 प्रस्तावित किए गए हैं। ये वेरिएंट, साथ ही अद्यतन संस्करण aws-ecs-1, नए लिनक्स कर्नेल 5.10 रिलीज़ का उपयोग करते हैं। लॉकडाउन मोड डिफ़ॉल्ट रूप से "अखंडता" पर सेट है (उपयोगकर्ता स्थान से चल रहे कर्नेल में परिवर्तन करने की अनुमति देने वाली क्षमताएं अवरुद्ध हैं)। Kubernetes 8 पर आधारित aws-k1.15s-1.15 वैरिएंट के लिए समर्थन बंद कर दिया गया है।
• अमेज़ॅन ईसीएस awsvpc नेटवर्क मोड का समर्थन करता है, जो आपको प्रत्येक कार्य के लिए अलग नेटवर्क इंटरफेस और आंतरिक आईपी पते आवंटित करने की अनुमति देता है।
• क्यूपीएस, पूल सीमा और एडब्ल्यूएस के अलावा क्लाउड प्रदाताओं से जुड़ने की क्षमता सहित विभिन्न कुबेरनेट्स मापदंडों को नियंत्रित करने के लिए सेटिंग्स जोड़ी गईं।
• बूटस्ट्रैप कंटेनर SELinux का उपयोग करके उपयोगकर्ता डेटा तक पहुंच पर प्रतिबंध प्रदान करता है।
• resize2fs उपयोगिता जोड़ी गई।

स्रोत: opennet.ru